Analyse Technique

🔍 Contexte En avril 2026, l’équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé WindowsAudit.exe sur un hôte victime. L’analyse a été publiée le 28 avril 2026 sur le blog de Profero. L’activité a été signalée à la Direction nationale israélienne de la cybersécurité (INCD). La campagne est considérée comme potentiellement en phase de préparation vers une opération ransomware de plus grande envergure. 🧬 Caractéristiques du binaire Nom : WindowsAudit.exe (version interne v1.5.77) Type : RAT modulaire C# (.NET 8), single-file bundle natif Taille : 101 Mo, non signé Date de compilation : 19 mars 2026 Architecture : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels 📡 Architecture C2 (trois canaux indépendants) Discord (primaire) : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu’à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes MQTT (secondaire) : broker HiveMQ Cloud public, port 8883 TLS, topics remoteadmin/commands et remoteadmin/results, client ID format ra-agent-{MachineName}-{short-guid} Telegram (optionnel) : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.) 🔒 Mécanismes de persistance Service Windows WindowsAudit (LocalSystem, démarrage auto, récupération sur échec) Abonnement WMI Exclusion Windows Defender via Add-MpPreference Sauvegarde dans %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe Clés de registre Run : WinSATService et WindowsAuditSvc sous HKCU\...\CurrentVersion\Run Tâche planifiée RemoteAdminEdrCleanup (déclenchée au démarrage en Safe Mode) Mutex : Global\WindowsAuditSingleInstance 🐾 Dropper compagnon : WinSATSvc Un second binaire .NET 8 (WinSATSvc.exe) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l’agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer WinSATTemp.exe (copie fraîche de l’agent principal). ...

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...

🔍 Contexte Publié le 23 avril 2026 par Cisco Talos, cet article constitue une analyse technique détaillée d’une campagne active menée par le groupe UAT-4356, précédemment attribué à la campagne étatique ArcaneDoor (début 2024), ciblant les équipements réseau périmètriques à des fins d’espionnage. 🎯 Vecteur d’accès initial UAT-4356 a exploité deux vulnérabilités n-day affectant le système d’exploitation Cisco FXOS (Firepower eXtensible Operating System) : CVE-2025-20333 CVE-2025-20362 Ces vulnérabilités ont permis un accès non autorisé aux équipements Cisco Firepower, ASA et FTD. ...

🔍 Contexte Publié le 23 avril 2026 par Mandiant / Google Threat Intelligence Group (GTIG), cet article documente une campagne d’intrusion multistade attribuée à un nouveau groupe de menace, UNC6692, détectée fin décembre 2025. 🎯 Vecteur initial et chaîne d’infection L’attaque débute par une campagne d’emails massifs destinée à saturer la boîte de réception de la victime, créant un sentiment d’urgence. L’attaquant contacte ensuite la victime via Microsoft Teams, en se faisant passer pour un employé du helpdesk IT, et l’incite à cliquer sur un lien de « patch anti-spam ». ...

🔍 Contexte Publié le 24 avril 2026 par DomainTools (SecuritySnacks), cet article présente une analyse technique approfondie de la campagne AiFrame, active depuis au moins début 2025, ciblant les utilisateurs de navigateurs Chrome via des extensions malveillantes. 🎯 Extension principale : faux Google Authenticator Une extension Chrome intitulée “2FA Authenticator” (ID : ebhcbenbgjmaebpgbldimndmfomjmphd), publiée le 2 avril 2026 avec plus de 30 000 téléchargements, usurpe l’identité de Google Authenticator. Elle utilise : ...

🔍 Contexte Publié le 22 avril 2026 par JFrog Security Research, cet article documente la compromission du package PyPI xinference (versions 2.6.0, 2.6.1 et 2.6.2) dans le cadre d’une campagne multi-écosystème attribuée au groupe TeamPCP. Les versions malveillantes ont été retirées (yanked) par les mainteneurs après signalement d’utilisateurs. 🎯 Nature de l’attaque Il ne s’agit pas d’un typosquatting mais d’un détournement de la ligne de release légitime de xinference. Le code malveillant est injecté dans xinference/__init__.py, ce qui le rend exécuté dès l’import du package. Un payload base64 est passé à un sous-processus Python détaché (subprocess.Popen) qui s’exécute en arrière-plan, dissimulé du processus principal. ...

🔍 Contexte Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de DinDoor, un backdoor basé sur le runtime Deno, variante du Tsundere Botnet, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien Seedworm (MuddyWater). 🎯 Vecteur d’infection et chaîne d’exécution Deux échantillons MSI ont été analysés : migcredit.pdf.msi (SHA256: 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae) : utilise une double extension pour se faire passer pour un PDF, cible apparente d’une entreprise russe de microcrédit (MigCredit). Dépose Juliet_widget15.ps1 dans AppData\Local\documents\, écrit le payload JS sur disque (Uniform_system17.js). Installer_v1.21.66.msi (SHA256: 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5) : construit avec WiX Toolset, signé avec le certificat ‘Amy Cherne’ lié à MuddyWater et CastleRAT. Exécute error.vbs pour afficher une fausse erreur, puis lance silencieusement Viper_controller36.vbs → tango_utility84.ps1. Le payload JS est exécuté entièrement en mémoire via URI data:application/javascript;base64. ⚙️ Comportement du payload Deno Mutex via TCP : bind sur 127.0.0.1:10091 (migcredit) ou 127.0.0.1:10044 (Installer) ; si le port est occupé, Deno.exit(1) est appelé. Fingerprinting : hash dual rolling initialisé à 0x9E3779B9, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2. Health check : GET /health avec timeout 3 secondes, attend HTTP 200 avec corps ok. C2 URL (Installer) : http://serialmenot[.]com/mv2/<JWT>/<victim_hash> avec JWT hardcodé exposant des métadonnées de campagne. Détection sandbox : énumération GPU via Get-WmiObject Win32_VideoController. Beacon : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d’index C2 en cas d’échec. 🌐 Infrastructure C2 et pivoting La réponse HTTP des serveurs DinDoor présente une empreinte distinctive : ...

🔍 Contexte Publié le 23 avril 2026 par SentinelLabs (Vitaly Kamluk & Juan Andrés Guerrero-Saade), cet article présente l’analyse technique approfondie d’un implant APT inédit nommé fast16, découvert dans les archives de la fuite ShadowBrokers. L’artefact daterait d’environ 2005, soit cinq ans avant la découverte publique de Stuxnet. 🧩 Composants de l’implant L’implant fast16 est constitué de deux éléments principaux : svcmgmt.exe : binaire porteur (carrier) écrit en C++, embarquant un payload Lua bytecode (magic bytes 1B 4C 75 61). Il gère la propagation via des « wormlets », vérifie la présence de firewalls personnels, et communique via un named pipe \.pipep577. fast16.sys : driver de système de fichiers Windows (type Start=0 Type=2), enregistré via IoRegisterFsRegistrationChange, interceptant les IRP (IRP_MJ_CREATE, IRP_MJ_READ, IRP_MJ_CLOSE, etc.) pour patcher à la volée des données en virgule flottante dans des fichiers ciblés. ⚙️ Mécanismes techniques Le carrier vérifie la présence de 18 solutions de sécurité (Symantec, Kaspersky, ZoneLabs, McAfee, F-Secure, etc.) via des clés de registre avant propagation. Le driver implémente un moteur de patching basé sur des règles : il recherche des patterns binaires spécifiques dans des fichiers .EXE et corrompt des calculs flottants de manière chirurgicale. Les artefacts compilateur (Intel Compiler, sections .xdata/.pdata) et les chaînes de version @(#)par.h $Revision: 1.3 $ permettent d’établir une filiation avec des projets internes. Le chemin PDB C:\buildy\driver\fd\i386\fast16.pdb confirme un environnement de build dédié. 🎯 Cibles identifiées L’analyse des patterns de patching identifie trois candidats logiciels cibles : ...

🔍 Contexte Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative. 🧩 Description des variantes Variante Linux/ESXi (ELF) Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué Cible explicitement les datastores VMware ESXi (/vmfs/volumes) Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024 Extension des fichiers chiffrés : .xhsyw Note de rançon : readme.txt Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html) Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB) Variante Windows (PE) Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note) Extension des fichiers chiffrés : .#~~~ Note de rançon : READ_ME_NOW.txt Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus) Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff) 11 commandes anti-récupération si exécuté avec élévation de privilèges : Suppression des shadow copies (WMI, WMIC, vssadmin) Désactivation du Windows Recovery Environment (bcdedit) Suppression des sauvegardes système (wbadmin) Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille Terminaison de services : msexchange, vss, backup, veeam, sql Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows Mutex : boomplay[.]com/songs/182988982 🔗 Infrastructure partagée Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor : ...

📅 Source et contexte : Rapport publié le 21 avril 2026 par l’Acronis Threat Research Unit (TRU), documentant une nouvelle campagne d’espionnage attribuée avec une confiance modérée au groupe Mustang Panda. 🎯 Ciblage : La campagne cible le secteur bancaire indien, marquant un pivot géographique et sectoriel par rapport aux précédentes opérations visant des entités gouvernementales américaines. Une déviation secondaire vers la géopolitique coréenne est également mentionnée. 🔗 Chaîne d’attaque : ...